Google, devam eden güvenlik endişeleri nedeniyle Chrome’un kök mağazasından iki sertifika yetkilisini (CAS) kaldırmayı planladığını açıkladı.
Chrome Kök Programı ve Güvenlik Ekibi, Chunghwa Telecom ve NetLock’un artık 31 Temmuz 2025’ten sonra verilen sertifikalar için varsayılan olarak Chrome 139’da güvenilmeyeceğini ortaya koydu.
Bu karar, Google’ın bu CA sahiplerine olan güvenlerini kamuya güvenen sertifika verenler olarak aşındıran “davranışla ilgili kalıplar” olarak tanımladıktan sonra gelir.
.png
)
Devam eden uyumluluk başarısızlıkları
Google raporuna göre, hem Chunghwa Telecom hem de NetLock birkaç ay ve yıl boyunca uyumluluk başarısızlıkları ve karşılanmamış iyileştirme taahhütleri gösterdi.
Chrome ekibi özellikle “uyumluluk başarısızlıkları, karşılanmamış iyileştirme taahhütleri ve kamuoyunda açıklanan olay raporlarına yanıt olarak somut, ölçülebilir ilerlemenin olmaması”, kaldırma nedenleri olarak belirtmiştir.
Krom kök programı politikası, Chrome kök deposunda yer alan CA sertifikalarının, devam eden dahil olma riskini aşan değer sağlaması gerektiğini belirtmektedir. Google, bu CAS’ın artık bu eşik gereksinimini karşılamadığını belirledi.
Etkilenen kök sertifikaları şunları içerir:
- OU = EPKI Kök Sertifika Otoritesi, O = Chunghwa Telecom Co., Ltd., C = TW.
- CN = Hipki Kök CA – G1, O = Chunghwa Telecom Co., Ltd., C = TW.
- CN = NetLock Altın (Sınıf Altın) Ana Sertifika, OU = Sertifikasyon Hizmetleri, O = Netlock Ltd., L = Budapeşte, C = Hu.
Uygulama, hangi sertifikaların artık güvenilmemesi gerektiğini belirlemek için Chrome’un İmzalı Sertifika Zaman Damgası (SCT) özelliğini kullanacaktır.
En erken SCT 31 Temmuz 2025’ten sonra tarihlenen etkilenen kök CA sertifikalarını doğrulayan Taşıma Katmanı Güvenliği (TLS) Sunucu Kimlik Doğrulama Sertifikaları, Chrome 139 ve daha yüksek olarak varsayılan olarak güvenilmeyecektir.
Önemli olarak, bu kesme tarihinde veya daha önce verilen sertifikalar, son kullanma tarihine kadar normal şekilde çalışmaya devam edecektir.
Bu yaklaşım, güvenliği korurken bozulmayı en aza indirmeyi amaçlamaktadır. Bu sertifikalara açıkça güvenen Chrome kullanıcıları veya işletmeler (örneğin, Windows’taki grup ilkesi nesneleri aracılığıyla), SCT tabanlı kısıtlamaları geçersiz kılar ve sertifikaların bugün olduğu gibi çalışmasına izin verir.
Değişiklik, Windows, MacOS, Chromeos, Android ve Linux platformlarındaki Chrome’u etkileyecek, ancak Apple’ın sertifika doğrulamasına ilişkin politikaları nedeniyle iOS için krom olmayacak.
Web sitesi yöneticileri için önerilen eylemler
Web sitesi operatörleri, Chrome Sertifikası görüntüleyicisini kullanarak etkilenip etkilenmediklerini belirleyebilir.
“Yayınlanan” altındaki “Organizasyon (O)” alanı “Chunghwa Telecom”, “行政院”, “Netlock Ltd.” veya “Netlock KFT”, eylemi içeriyorsa.
Google, etkilenen web sitesi operatörlerinin en kısa sürede halka açık bir CA’ya geçişini önerir.
Operatörler, 1 Ağustos 2025’ten önce bu CAS’dan yeni sertifika alarak etkiyi geciktirebilirken, sonunda Chrome Kök Mağazasında yer alan başka bir CA’ya geçmeleri gerekecektir.
Test amacıyla Chrome 128, bir SCTNOTAFTER güvensizlik kısıtlamasının etkisini simüle etmek için bir komut satırı bayrağı tanıttı:
Dahili ağlar için etkilenen sertifikaları kullanan kurumsal kullanıcılar bu kısıtlamaları geçersiz kılabilir CHROME 127’den başlayarak, ilgili kök CA sertifikasını yerel olarak güvenilir olarak yükleyerek Platformdaki kök Chrome devam ediyor veya kurumsal politikalar kullanılarak.
Kullanıcılar, kesme tarihinden sonra etkilenen sertifikalara hizmet veren web sitelerine gittiklerinde, siteye erişimi etkili bir şekilde engelleyerek tam sayfalık bir güvenlik uyarısı interstisy ile karşılaşacaklardır.
Dijital manzara geliştikçe, kullanıcı güvenini korumak, acımasız uyanıklığa, ortaya çıkan tehditlere hızlı tepki ve en yüksek şifreleme bütünlüğü standartlarını korumaya birleşik bir bağlılığa bağlı olacaktır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri